Kas tai? Eksperto įžvalgos

Nauja pareiga — vertinti poveikį duomenų apsaugai

Publikuota: 2017-11-06

Bendrajame duomenų apsaugos reglamente yra dar viena naujovė - pareiga atlikti vadinamąjį poveikio duomenų apsaugai vertinimą, kuri atsiranda esant tikimybei, kad duomenų tvarkymo operacijų metu kils didelis pavojus asmenų teisėms ir laisvėms. Čia kalbama ne tik apie pavojų privatumui ir asmens duomenims, nors tai, žinoma, išlieka pagrindinis rūpestis. Žvelgiama plačiau - pavojus gali kilti asmenų žodžio, minties, religijos, saviraiškos laisvėms, nuosavybės, laisvo judėjimo teisėms ir kt.

Šis įpareigojimas taip pat bus taikomas nuo Reglamento įsigaliojimo dienos ir bus skirtas tiek duomenų valdytojams ir tvarkytojams ūkio subjektams (ir juridiniams, ir fiziniams asmenims), tiek valstybinės valdžios institucijoms. Už jo nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos.

Poveikio duomenų apsaugai vertinimas (angl. Data Protection Impact Assessment, toliau — DPIA) iš esmės yra ne kas kita, kaip jau žinomas duomenų apsaugos įmonėje, įstaigoje, organizacijoje auditas, kurio metu yra įvertinamos atliekamos operacijos bei ateičiai parenkami tam tikri sprendimai, turintys užtikrinti duomenų subjektų teisių ir laisvių apsaugą duomenų tvarkymo operacijų metu.

Šiuo metu galiojanti pareiga duomenų valdytojams (tvarkytojams), prieš pradedant tvarkyti asmens duomenis, registruotis Asmens duomenų valdytojų registre nuo Reglamento įsigaliojimo dienos yra naikinama, vadinasi, formaliai mažinama ūkio subjektams tenkanti administracinė našta. Tačiau iš tiesų naujasis reikalavimas atlikti DPIA daugumai subjektų bus rimtas iššūkis ir pareikalaus ne tik laiko, tam tikrų žinių, bet ir papildomų finansinių įmonės, įstaigos ar organizacijos resursų.

Kai kalbame apie DPIA, mintyse turime du aspektus. Pirma, duomenų valdytojas (tvarkytojas) turi įsivertinti, ar, prieš pradedant tvarkyti asmens duomenis, jam apskritai yra privaloma atlikti DPIA (be abejo, ūkio subjektas gali atlikti DPIA ir savanoriškai). Antra, jei atsakymas teigiamas, jis turi atlikti ir įgyvendinti patį DPIA bei, jei to konkrečiu atveju reikalauja Reglamentas, tokio vertinimo rezultatus pateikti priežiūros institucijai.

Jau užsiminiau, kad DPIA nėra privalomas visais atvejais, o tik kai duomenų tvarkymo operacijų metu fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus. Savaime suprantama, didelis yra vertinamoji sąvoka, tačiau Reglamentas pateikia nebaigtinį sąrašą kriterijų, kuriuos valdytojui (tvarkytojui) atpažinus savo veikloje būtų laikoma, kad duomenų tvarkymo operacijų keliamas pavojus yra didelis. Tam tikrais itin išimtiniais atvejais, net ir nustačius didelį pavojų, Reglamentas leidžia DPIA neatlikti.

Reglamentas didelį pavojų visuomet sieja su duomenų tvarkymo operacijomis, kurios apima naujų technologijų naudojimą arba yra naujos rūšies operacijos, arba susijusios su duomenų perdavimu už ES ribų. Galioja taisyklė, kad jei duomenų valdytojui (tvarkytojui) kyla abejonių, ar jam poveikio vertinimas yra privalomas, rekomenduojama DPIA atlikti.

Pirma kriterijų grupė apima situacijas, kai duomenų valdytojo (tvarkytojo) veikla yra susijusi su sistemingu ir įvairiapusiu duomenų subjekto asmeninių aspektų automatizuotu vertinimu (įskaitant profiliavimą), kai tai duomenų subjekto atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį. Šių operacijų metu yra siekiama analizuoti arba numatyti tokius duomenų subjekto asmeninius aspektus, kurie yra susiję su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu. Tokių veiklų pavyzdžiai galėtų būti e. parduotuvės atliekama jos klientų pirkimų istorijos analizė, siekiant pasiūlyti individualizuotą produktų krepšelį, arba trumpiausio kelionės maršruto sudarymas ir pasiūlymas programėlės naudotojui, remiantis programėlės surinkta informacija apie jo buvimo vietą, judėjimo greitį, naudojamą transporto priemonę, ir pan.

Antra kriterijų grupė numato, jog DPIA turės būti atliekamas, jei duomenų valdytojo (tvarkytojo) veikla yra susijusi su Reglamente nurodytų specialių kategorijų duomenų tvarkymu dideliu mastu. Tai liečia tiek tam tikrų kategorijų duomenų subjektus, pavyzdžiui, vaikus, psichinėmis ligomis sergančius asmenis, senjorus ir kt., arba tai yra susiję su tam tikrų kategorijų duomenimis, pavyzdžiui, apie teistumą, sveikatą, politines pažiūras, finansinę padėtį, taip pat asmens privatų susirašinėjimą bei tokią asmeniniams poreikiams tenkinti naudojamą informaciją ir duomenis, kaip antai, nuotraukas, užrašus, laikomus „debesyje“ ar kitose duomenų e. kaupyklėse, ir pan. Didelis mastas reiškia, kad yra atliekama tiek ir tokių duomenų tvarkymo operacijų, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų subjektų.

Trečia kriterijų grupė apima veiklas, kurių metu yra atliekamas sistemingas viešos vietos stebėjimas dideliu mastu. Šis kriterijus padeda užtikrinti tokių valdytojo (tvarkytojo) veiklų kontrolę, kurių metu viešose vietose stebimi duomenų subjektai paprastai nežino, kas juos stebi bei kaip jų duomenys vėliau gali būti panaudojami, nekalbant apie tai, kad esama daug situacijų, kai duomenų subjektai gali nė nežinoti, kad apskritai yra stebimi, pavyzdžiui, vaizdo stebėjimo gatvėse, viešojo transporto stotelėse ir kt. atveju.

Savaime suprantama, nesant didelio pavojaus asmenų teisėms ir laisvėms, arba jei DPIA jau anksčiau buvo atliktas panašaus turinio operacijoms įvertinti ir jos stipriai nesikeitė, arba egzistuoja teisinis pagrindas ES arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui (tvarkytojui), ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, pareiga atlikti DPIA neatsiranda.

Kalbant apie tai, kaip DPIA turi būti atliekamas, į pagalbą duomenų valdytojui (tvarkytojui) ateina duomenų apsaugos pareigūnas, jei tokį valdytojas (tvarkytojas) privalo turėti arba savanoriškai nusprendžia turėti. Reglamente yra pateikti kertiniai orientaciniai DPIA atlikimo metodologijos etapai, numatantys, jog vertinime turi būti bent jau:

 

1. aprašomos duomenų tvarkymo operacijos, tvarkymo tikslai;
2. aprašomas duomenų tvarkymo operacijų reikalingumas ir proporcingumas, palyginti su tikslais, ir pateikiamas to vertinimas;
3. įvertinamas pavojus duomenų subjektų teisėms ir laisvėms;
4. aprašomos tokiems pavojams šalinti reikalingos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi Reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

Naujasis reguliavimas numato pareigą nacionalinėms priežiūros institucijoms (Lietuvoje — Valstybinei duomenų apsaugos inspekcijai) iki 2018 m. balandžio 30 d. sudaryti ir viešai paskelbti duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti DPIA, sąrašą, taip pat ir sąrašą tokių operacijų, kurioms vertinimo atlikimo reikalavimas netaikomas. Susipažinus su šiais sąrašais, ūkio subjektams bus neabejotinai daug paprasčiau įsivertinti, ar jų veiklai reikalingas DPIA, o iki to laiko duomenų valdytojams (tvarkytojams) rekomenduojama pradėti savarankiškai analizuoti savo veiklos procesus ir operacijų turinį jau aptartų kriterijų ir metodologijos etapų kontekste.

Visais atvejais DPIA turės būti atliekamas iš naujo, kai keisis atliekamų procesų ir operacijų turinys. Nesant tokių duomenų valdytojo (tvarkytojo) veiklos pokyčių, rekomenduojama, jog DPIA būtų kartojamas kas treji metai, arba, priklausomai nuo vykdomos veiklos pobūdžio, — ir daug dažniau.

Taigi, kad ir kokį metodą pasirinktų duomenų valdytojas (tvarkytojas), įgyvendindamas anksčiau aptartus etapus ir siekdamas DPIA numatytų tikslų, svarbu, kad poveikio duomenų apsaugai vertinimas nebūtų laikomas dar viena formalia pareiga. Naujuoju reguliavimu siekiama, kad patys valdytojai (tvarkytojai) DPIA suprastų kaip reikšmingą bei naudingą vidinį įmonės, įstaigos, organizacijos procesą, kurio tikslus įmanoma pasiekti tik su sąlyga, kad toks vertinimas yra atliekamas kruopščiai ir teisingai, laikantis Reglamento reikalavimų ir įsiklausant į rekomendacijas.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Baltarusija: branduolinis kuras į Astravo AE gali būti atgabentas lapkritį

Branduolinis kuras Astravo atominės elektrinės pirmajam reaktoriui gali būti atgabentas ateinantį mėnesį,...

Pramonė
2019.10.27
Seimo valdyba prašo papildomų 1,5 mln. Eur darbuotojų algoms, salės atnaujinimui

Seimo valdyba registravo siūlymą kitų metų biudžete parlamento asignavimus didinti 1,5 mln. Eur. Šių pinigų...

Verslo aplinka
2019.10.27
Skelbiama apie „Islamo valstybės“ lyderio žūtį, naujieną patvirtino D. Trumpas

Per Jungtinių Valstijų surengtą išpuolį Sirijos Idlibo regione žuvo džihadistų judėjimo „Islamo valstybė“...

Verslo aplinka
2019.10.27
Vilnius žada gerokai paspartinti žemės grąžinimą

Vilniaus valdžia kitais metais žada gerokai paspartinti žemės grąžinimą buvusiems savininkams. Procesas gali...

Verslo aplinka
2019.10.27
Kraštutiniai dešinieji „AfD“ stiprina savo pozicijas Rytų Vokietijoje Premium

Sekmadienį Rytų Vokietijos Tiuringijos žemėje vyksta rinkimai. Prognozuojama, kad čia stipriai pasirodys...

Verslo aplinka
2019.10.27
Naujasis Kinijos Šilko kelias – prasta viešųjų ryšių kampanija?  Premium

Pastarąjį dešimtmetį kinai leidosi į tikrą apsipirkimo vajų Europoje. Šiuo metu mūsų žemyne Kinijai visiškai...

Verslo klasė
2019.10.26
N. Jasinavičius: ar reikia griauti tai, kas veikia? Premium

– Ar jūs suprantate, ką siūlote? Tai prieštarauja viskam, kuo mes užsiėmėme pastaruosius 10 metų, – pasakė...

Verslo klasė
2019.10.26
K. Mažeika: po gaisro Alytuje reikės užtikrinti, kad užteršti produktai nepatektų į rinką

Užgesinus gaisrą Alytaus padangų perdirbimo įmonėje laukia nemažai iššūkių likviduojant jo pasekmes – reikės...

Verslo aplinka
2019.10.26
Šiąnakt persuksime laikrodžius 

Ateinančią naktį atšaukiamas vasaros laikas - laikrodžius pasukus valandą atgal Lietuva bei visa Europos...

Verslo aplinka
2019.10.26
Silpstanti Vokietijos įtaka Angelos Merkel politikos saulėlydyje Premium

Emmanuelis Macronas pateikė diplomatinį pasiūlymą, dėl kurio Berlyne daugelis neteko žado. Priimdamas...

Verslo aplinka
2019.10.26
Ar lengva būti „fintech“ startuoliu Lietuvoje?

Inovacijos finansinių technologijų sektoriuje vis sparčiau keičia vartotojų elgesį bei skatina imtis pokyčių...

Finansai
2019.10.25
Iš laikrodžių išsuksime vasarą 

Savaitgalį Lietuvoje, kaip ir visoje Europos Sąjungoje, bus atšauktas vasaros laikas. Naktį iš šeštadienio į...

Verslo aplinka
2019.10.25
Gaisras Alytuje galutinai užgesintas

Gaisras padangų perdirbimo gamykloje – tikrai užgesintas, teigia Alytaus meras Nerijus Cesiulis.

Verslo aplinka
2019.10.25
Ligonių kasa stabdo užsakymų priėmimą ir apmokėjimą FNTT tiriamoms ortopedijos įmonėms

Valstybinė ligonių kasa (VLK) penktadienį paskelbė stabdanti naujų užsakymų priėmimą ir apmokėjimą...

Verslo aplinka
2019.10.25
ES sutinka, kad „Brexit“ reikia atidėti, tačiau kiek, dar nenuspręsta

Penktadienį tikėtasi, kad Europos Sąjunga (ES) paskelbs apie savo sprendimą, kiek Bendrija sutinka dar kartą...

Verslo aplinka
2019.10.25
Ginant viešąjį interesą, prokurorė nurodė imtis veiksmų dėl sklypų Alytuje

Kauno apygardos prokuratūros Viešojo intereso gynimo skyriaus prokurorė Liudmila Borisova, atlikusi...

Statyba ir NT
2019.10.25
S. Skvernelis su dar penkiais premjerais siūlo stabdyti Mobilumo paketą  8

Šešių Vidurio ir Rytų Europos valstybių, tarp jų ir Lietuvos, premjerai ragina Europos Sąjungos institucijas...

Verslo aplinka
2019.10.25
P. Cvirkos paminklo negalima nukelti, sako Kultūros paveldo departamento direktorius 3

Paminklo rašytojui ir sovietmečio veikėjui Petrui Cvirkai negalima nukelti, nes jis yra kultūros vertybių...

Laisvalaikis
2019.10.25
Turkijos įsiveržimas į Siriją: V. Putinas laimėjo daugiau nei R. T. Erdoganas Premium

Turkijos prezidentas Recepas Tayyipas Erdoganas įsiveržė į šiaurės rytų Siriją turėdamas keletą tikslų. Du...

Verslo aplinka
2019.10.25
Naujas „Klaipėdos naftos“ vadovas kol kas nepaskirtas

Naujas valstybės valdomos bendrovės „Klaipėdos nafta“ vadovas kol kas nepaskirtas, teigia šaltiniai.

Verslo aplinka
2019.10.25

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau